CNAPP으로 클라우드 네이티브 환경 보호
[데이터넷] 최근 클라우드는 도커·컨테이너, 서버리스, IaC 등 새로운환경으로 진화하고 있다. 가트너 조사에 따르면 개발부서의 51%가 이 같은 클라우드 네이티브 환경을 사용하며, 2025년까지 95%가 클라우드 네이티브로 비즈니스를 전환할 계획이다. 포레스터 조사에서는 기업의 60%가 퍼블릭 클라우드의 컨테이너를 사용하고, 개발자의 25%는 서버리스를 활용할 것으로 예측됐다.
전통적인 클라우드 보안툴은 이러한 새로운 환경을 보호하지 못해 공격 타깃이 되고 있다. 사이버 공격 중 클라우드 서비스 타깃 공격 비율이 49%에 이르며, 로그4j와 같은 새로운 취약점이 네이티브 워크로드를 손상시키는데 20분이면 충분하다.
클라우드 네이티브 환경이 취약하다는 것은 많은 보고서에서 공통적으로 지적하는 것이다. 베리타스 조사에 따르면 89%의 기업이 2~3년 내에 쿠버네티스를 도입할 것으로 예상되며, 1/3은 이미 쿠버네티스를 도입했다. 그러나 쿠버네티스 도입 조직의 33%만이 이를 위한 보호 체계를 갖췄다고 밝혔다.
이는 쿠버네티스만의 문제가 아니라 컨테이너·서비스형 컨테이너(CaaS), 서버리스, IaC 등 최신 클라우드 환경 모두 갖고 있는 공통된 문제다. 이 환경은 수많은 애플리케이션과 상호작용하고, 여러 서비스에 재사용된다. 개발과 배포, 운영이 동시에 진행되기 때문에 보안점검을 위해 CI/CD 파이프라인을 중단시키면 비즈니스 운영에 지장을 준다는 저항을 받을 수 있다.
보안이 검증되지 않은 서비스는 위험하다. IDC는 2023년까지 5억개 이상 앱과 서비스가 클라우드 기반 서비스에서 개발되고 사용될 것으로 예상했는데, 보안을 고려하지 않는다면 5억개의 공격 가능한 앱·서비스가 공개되는 셈이다.
“클라우드 애플리케이션이 안전한가”
가트너는 “더 이상 ‘클라우드 인프라가 안전한가?’ 라고 묻지 말고 ‘클라우드 애플리케이션이 안전한가’를 확인해야 한다”고 설명하며 CNAPP의 중요성을 강조했다. CNAPP은 개발 중 워크로드와 구성 보안을 검색하고 문제를 해결하며, 런타임 애플리케이션까지 보호하는 통합 기능을 갖췄다. CNAPP은 CWPP, CSPM, CIEM, 쿠버네티스 보안 형상관리(KSPM), API 보호 등의 기능을 수행한다.
아쿠아시큐리티 보안연구소 팀 노틸러스(Team Nautilus)의 야키르 캐드코다(Yakir Kadkoda) 수석보 안연구원은 “CNAPP의 목표는 클라우드 네이티브 환경에 완벽한 종단간 보안을 제공하는 것이다. 특정 보안 포인트에서 개별적이 보안 문제만 해결하고 수동으로 결합해야 하는 보안 방식은 복잡하고 새로워지는 클라우드 네이티브 환경에서는 효율적이지 못하기 때 문에 전체적인 보안을 제공하는 통합 플랫폼을 사용해 야 한다”고 설명했다.
CNAPP은 클라우드 워크로드와 애플리케이션을 보호하기 위한 통합 플랫폼으로, 가트너는 다음의 주요 요소로 구성된다고 설명했다.
- 아티팩트 스캐닝(Artifact scanning): 패키지, 컨테이너, 구성 파일, 이미지 등 소프트웨어 개발 프로세스에 의해 생성된 파일에 대한 SAST/ DAST, API 스캐닝, 소프트웨어 구성 분석, CVE, 기밀·민감정보, 멀웨어 탐지, 공격 경로 분석 등 노출 검사(Exposure Scanning)를 수행한다.
- 클라우드 인프라 권한 관리(CIEM): 과도한 클라우드 인프라 권한을 줄이고 최소 권한 액세스 제어를 시행하도록 설계된 ID와 액세스 거버넌스 제어 기능을 제공한다. 동적·분산 클라우드 환경에 서 구현된 최소 권한 액세스 제어를 간소화한다.
- CSPM·KSPM: CSPM은 클라우드 서비스 구성, 보안 설정, 규정 준수, 클라우드 거버넌스 등 클라우드 문제를 기록, 감지, 보고한다. CSPM 도구는 모니터링, 분석, 인벤토리, 자산 분류, 비용 관리 및 리소스 구성 등의 기능을 제공한다. KSPM은 쿠버네티스와 도커의 CIS 벤치마크, 최소 권한 RBAC, 침투 테스트 및 Pod 배포 정책을 통해 지속적인 보안 구성을 보장한다.
- IaC 스캐닝: 일반적인 클라우드 네이티브 템플릿 형식을 구문 분석한 후 보안 모범 사례를 기반으로 규칙을 적용해 환경의 보안을 강화하기 위해 추가 강화가 필요할 수 있는 부분에 대한 이해를 사용자에게 제공한다.
- CWPP: 조직이 클라우드 전반에서 워크로드를 지속적으로 보호하고 관리해 복잡한 클라우드 환경을 보호할 수 있도록 지원한다. CWP는 관리 및 보안 정책 정의를 중앙 집중화하고 환경 전반에 걸쳐 가시성을 유지하며 확장된 보안 제어를 제공한다. CWPP 시스템의 일반적인 기능에는 시스템 무결성 모니터링, 취약성 관리, 시스템 강화 및 호스트 기반 세분화가 포함된다. (정리: 아쿠아시큐리티)
모든 레벨에서 클라우드 네이티브 공격 차단
CWPP·CSPM과 클라우드 애플리케이션 보안을 제공하는 기업들이 통합 플랫폼으로 CNAPP을 출시하면서 시장에 잇달아 뛰어들고 있다. 컨테이너 보안 전문 기업으로 시작한 아쿠아시큐리티가 그중 가장 완성도 높은 CNAPP을 제공하면서 시장을 선도하고 있다. 아쿠아 CNAPP은 모든 레벨에서 클라우드 네이티브 공격을 차단하는데, 워크로드를 중단하지 않고 프로덕션 환경에서 공격 탐지와 차단을 제공한다.
아쿠아 플랫폼은 컨테이너·서버리스를 위해 설계됐으며, 전체 생명주기에 걸쳐 워크로드 활동에 대한 완전한 가시성과 자동화된 제어를 제공하며, 데브옵스를 방해하지 않고 보호한다. 보안 개발 프로세스, SAST·DAST 스캔, 시크릿 스캔 등을 제공하며, 손상 된 계정·악의적인 내부 사용자를 바르게 발견할 수 있도록 권한 접근을 차단한다.
이은옥 아쿠아시큐리티 한국 지사장은 “아쿠아는 클라우드 네이티브 환경 보호를 목적으로 설립된 회사이며, 가장 점유율이 높은 클라우드 네이티브 보안 오픈소스를 개발·제공하고 있다. 전 세계 1억명 이상 사용자와 하버, 깃허브, 아티팩트허브의 기본 스캐너로 채택되고 있다”며 “지난해 한국 지사 설립 후 복수의 금융기관과 이커머스 기업에 서비스를 공급했으며, 여러 산업군에서 관심을 받는 등 국내 클라우드 네이티브 보안 시장을 선점했다”고 말했다.
